22 grudnia 2021

Domyślne zabezpieczanie Teams w Edukacji

Temat tworzenia zdalnych spotkań (a zwłaszcza lekcji) w sposób bezpieczny ciągle powraca. Pisałem o tym również na blogu jakiś czas temu. Kilka miesięcy temu Microsoft wprowadził w panelu administracyjnym Teams dla Edukacji rewolucyjną zmianę, która potrafi nieźle zaskoczyć osoby, które nie zaglądają w to miejsce zbyt często. Przy wejściu na stronę https://admin.teams.microsoft.com przywitać może nas okienko proponujące dodatkowe zabezpieczenie (ekran poniżej).
























Jeżeli wybierzemy opcję "Zrobię to później" to nic nie zmienimy. Jeżeli jednak wybierzemy przycisk domyślny "Dalej", to przejdziemy do konfiguracji grypy polis zostawiających odpowiednie uprawnienia nauczycielom, a odbierające np. opcje organizacji spotkań i czatowania uczniom. W kolejnym kroku zostaniemy poproszeni o wskazanie grupy, zawierającej nauczycieli













Oczywiście grupa może nazywać się dowolnie - pokój nauczycielski, nauczyciele, pracownicy, itp, jednak musi zawierać wszystkie osoby, które powinny mieć odpowiednie uprawnienia w Teams do organizowania i kierowania spotkaniami. Jeżeli takiej grupy nie wybierzemy, to przechodząc dalej ograniczymy uprawnienia w Teams wszystkim.













Po kliknięciu "Zastosuj" polityki organizacji spotkań i wymiany wiadomości (oraz kilka innych) zostanie zastosowanych.














Warto przeczytać ze zrozumieniem również ekran podsumowania i pamiętać o tym, że zmiana polityk dla dużej organizacji może trwać nawet kilkanaście godzin, więc warto wszystko sprawdzić dwa razy, a najlepiej aplikować zmiany w piątek wieczorem, tak żeby mieć czas na zweryfikowanie zmian w weekend. Jeżeli jednak popełnimy błąd, to nic straconego - kreator możemy uruchomić ponownie z ekranu startowego panelu administracyjnego Teams.









Warto również przeczytać dokumentację, gdzie jest dokładnie opisane, jakie ustawienia kreator modyfikuje.

12 listopada 2021

Listopadowe poprawki bezpieczeństwa dla Exchange i parę przemyśleń

Minęło raptem kilka tygodni od październikowych poprawek bezpieczeństwa dla serwerów Exchange, a tu znowu kolejny wysyp. Czyżby ktoś przeklął administratorów poczty on-premises? Niestety tak bywa. Obserwując poszczególne produkty Microsoft, widać w jakie obszary idzie cały wysiłek koncernu, a gdzie prace zostały mocno spowolnione. Dokładnie rok temu na konferencji Ignite Microsoft ogłaszał wydanie w tym roku kalendarzowym (2021) nowej wersji Exchange, Skype for Business i Sharepoint Server. Niestety, na szumnych zapowiedziach się skończyło. O ile w przypadku Sharepoint Servera, pojawiła się wersja Subscription Edition, z wydaną w lipcu wersją preview, to w przypadku zarówno Skype for Business jak i Exchange, brak informacji o nowych wersjach, nawet testowych. W zeszłym tygodniu odbyła się kolejna konferencja Ignite, na której była jedna (!) sesja o Exchange Online (ale bez ogłaszania żadnych nowości). Pojawiają się co prawda usprawnienia, takie jak aktualizacje modułu administracyjnego powershell, dla którego właśnie pojawiła się wersja preview, umożliwiająca łączenie z chmurą bez konieczności użycia uwierzytelnienia Basic dla WinRM, albo nowy serwis Emergency Mitigation, o którym pisałem w poprzednim poście. Jednak rozwój systemu nie jest już tak dynamiczny jak kiedyś, w końcu trudno coś rewolucyjnego wymyślić po tylu latach stabilizacji funkcjonalności.

Wracając jednak do tematu aktualizacji. Na blogu zespołu produktowego pojawiła się informacja o kolejnych poprawkach, które administratorzy powinni zainstalować jak najszybciej. Poprawka chroni przed opisaną w biuletynie bezpieczeństwa podatnością CVE-2021-42321. Poprawka jest dostępna jak zwykle dla dwóch ostatnich wersji CU serwerów Exchange 2016 i 2019 oraz dodatkowo dla wersji 2013:

Oczywiście warto sprawdzić przed instalacją środowisko najnowszą wersją skryptu Health Checker. Dla mniej sprawnych administratorów jest dostępny również kreator, pomagający zaktualizować wersję Exchange. Warto również skorzystać ze środowiska testowego, jeżeli je posiadamy.

16 października 2021

Poprawki wrzesień-październik dla Exchange

Dużo ostatnio pracuję i mam lekkie opóźnienie z publikowaniem treści na blogu. Niestety, taki mamy klimat. Ale muszę wspomnieć o poprawkach do Exchange jakie Microsoft wydał we wrześniu i październiku.  28 września opublikowane zostały poprawki Cumulative Updates dla Exchange 2019 i dla Exchange 2016. Pisałem już wcześniej, że Microsoft, ze względu na koniec podstawowego wsparcia dla Exchange 2016 miał zakończyć publikowanie CU dla tej wersji systemu, jednak zgodnie ze starym powiedzieniem "Nigdy nie mów nigdy", musiał zmienić zdanie. Tegoroczny wysyp podatności w Exchange i próby ich opanowania skutkowały kilkoma decyzjami - w czerwcu została wprowadzona integracja z interface'm AMSI systemu operacyjnego, na tyle istotna, że niezbędny był pakiet CU21 (pisałem o tym na tym blogu), a we wrześniu Microsoft dodał do architektury Exchange dodatkową usługę, która ma za zadanie ułatwiać ochronę przed krytycznymi podatnościami - Microsoft Exchange Emergency Mitigation Service, o którym zespół produktowy pisał szczegółowo na swoim blogu. Po marcowym trzęsieniu ziemi z potężną dziurą w zabezpieczeniach Exchange, Microsoft udostępnił dodatkowe narzędzie EOMT (Exchange On-premises Mitigation Tool). Teraz zostało ono dodane jako dodatkowy serwis do usług Exchange, więc konieczny był kolejny pakiet przebudowujący całościowo binaria Exchange.

Warto również wspomnieć, że od wrześniowych pakietów poprawek Microsoft wprowadził opcjonalnie wysyłanie danych diagnostycznych z działania systemu, dlatego też zmieniła się zgoda, którą udzielamy w trakcie instalacji CU. Skutkuje to istotną zmianą w trakcie instalacji z linii komend - zamiast przełącznika /IAcceptExchangeServerLicenseTerms mamy do wyboru dwa alternatywne przełączniki:

/IAcceptExchangeServerLicenseTerms_DiagnosticDataON

/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

Jak można się domyślać, używając pierwszego przełącznika zgadzamy się na warunki licencyjne i wysyłanie danych diagnostycznych do Microsoftu, drugi przełącznik nie zezwala na wysyłanie takich danych.

Więcej informacji znajdziecie na blogu zespołu produktowego. A tutaj znajdziecie pakiety aktualizacji:

Niecałe dwa tygodnie po wydaniu CU pojawiły się dodatkowo pakiety poprawek bezpieczeństwa, również dla wersji Exchange 2013. Poprawki te adresują podatności opisane w poniższych biuletynach bezpieczeństwa:
Należy pamiętać o tym, że poprawki są udostępnione tylko dla dwóch najnowszych wersji CU. Więc najpierw należy zaktualizować CU do wymaganej wersji. Więcej szczegółów można znaleźć na blogu zespołu produktowego. Stąd można pobrać odpowiednie wersje poprawek:
  • Exchange Server 2013 CU23 (dla Exchange 2013 może być potrzebne rozszerzenie schematu /prepareschema.)
  • Exchange Server 2016 CU21 oraz CU22
  • Exchange Server 2019 CU10 oraz CU11

28 sierpnia 2021

Zmiany w Azure AD Connect

Ponad rok w aplikacji Azure AD Connect nie widać było żadnych aktualizacji, ale ostatnie miesiące przyniosły istotne zmiany, na które warto zwrócić uwagę i zaaplikować jak najszybciej, zwłaszcza w konktekście znalezionych podatności oraz wygasającego wsparcia dla poszczególnych komponentów.

Wchodząc na stronę historii wersji Azure AD Connect, zobaczymy, że dostępne są dwie ścieżki:

  • Azure AD Connect 2.0, do instalacji na serwerze w wersji Windows Server 2016 lub nowszej,
  • Azure AD Connect 1.6, do instalacji na starszych wersjach systemu (które już wyszły ze wsparcia lub za chwilę wyjdą)
Co nowego przynosi wersja 2.0? Jest kilka istotnych zmian, w komponentach, które wykorzystuje nowa wersja (więcej informacji w dokumentacji produktu):
  • lokalna baza danych w wersji SQL Server 2019 LocalDB. Instalowany w wersji 1.x SQL Server 2012 wychodzi ze wsparcia w lipcu 2022.
  • biblioteka uwierzytelnienia MSAL zamiast ADAL, która będzie wycofana w czerwcu 2022,
  • TLS 1.2 jako domyślny i jedyny protokół zabezpieczania transmisji (TLS 1.0 i 1.1 są od dluższego czasu oznaczane jako podatne na ataki) - przed aktualizacją musimy ustawić obsługę protokołu TLS w odpowiedniej wersji,
  • Visual C++ Redist 14 jako komponent niezbędny dla SQL 2019
Jak możemy zrobić upgrade? Oczywiście jest możliwy upgrade in-place, jeżeli oczywiście mamy serwer w co najmniej wersji 2016, po zakończeniu aktualizacji musimy pamiętać jednak o odinstalowaniu komponentów SQL 2012. Niestety auto-upgrade nie zadziała, musimy pobrać najnowszą wersję produktu i uruchomić proces instalacji samemu.


























Po zweryfikowaniu konfiguracji serwera i instalacji dodatkowych składników, kreator poprosi nas o wprowadzenie poświadczeń administratorskich i przejdzie do kroku finalnego (kolejny rysunek).


























Możemy również wykorzystać ścieżkę eksportu i importu konfiguracji, kiedy na przykład musimy zmienić wersję systemu operacyjnego. Proces jest dobrze opisany w dokumentacji.

CLM - Ograniczanie możliwości Powershell w środowisku firmowym

Powershell jest moim ulubionym językiem skryptowym, bardzo popularny na platformie Windows i w chmurze, stopniowo zadomawia się również w środowiskach Linux, stał się również zamiennikiem powłoki systemu operacyjnego Windows. Taka popularność rodzi obawy przed możliwymi zagrożeniami, więc warto zastanowić się jak można poprawić bezpieczeństwo środowiska? Od wersji 3.0 wprowadzono w Powershell możliwość włączenia trybu Constrained Language Mode (CLM), co powoduje znaczące ograniczenie możliwości wywołania bardziej zaawansowanych mechanizmów języka (bardziej szczegółowy opis ograniczeń można znaleźć w artykule https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode).

Cmdlety wykonują się poprawnie, jednak przy wywołaniu skryptu możemy zobaczyć komunikat:

Cannot invoke method. Method invocation is supported only on core types in this language mode.
Czyli włączenie CLM, będzie skutkowało koniecznością zweryfikowania wszystkich skryptów, które są wykonywane w tak chronionym kontekście, a nawet zmodyfikowania pliku profilowego.
No dobrze, ale dobrze jest wiedzieć, jak włączyć CLM w naszym środowisku. W ramach pojedynczej sesji Powershell wystarczy wykonać komendę:

$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

Oczywiście, jeżeli uruchomimy drugą sesję Powershell to będzie ona działać w trybie standardowym. Możemy również ponownie zmienić tryb pracy na pełny komendą

$ExecutionContext.SessionState.LanguageMode = "FullLanguage"

Możemy również ustawić zmienną środowiskową __PSLockDownPolicy na wartość 4.  Jednak zalecanym rozwiązaniem w środowisku domenowym Active Directory jest użycie polis GPO, włączając odpowiednie polisy - AppLocker dla komputerów Windows 7 lub nowszych, ewentualnie Windows Defender Application Control dla Windows 10.

Przykładowo, dla applockera tworzymy polisę, w której definiujemy reguły dla skryptów (rysunek poniżej), nie możemy również zapomnieć o wymuszeniu stosowania polisy (kolejny rysunek).





















Wymuszenie konfiguracji komputera przez GPO jest trudne do obejścia, nawet dla osoby mającej uprawnienia administracyjne. Warto w takim przypadku spojrzeć na szczegóły polisy opisującej konfigurację applockera dla skryptów. Przy włączonym wymuszeniu stosowania polisy na naszym komputerze, będzie działać tryb CLM we wszystkich lokalizacjach oprócz dopuszczonych przez polisę, gdzie będzie działać pełny tryb języka. Przy domyślnych regułach lokalni administratorzy mogą uruchamiać skrypty bez ograniczeń, a pozostali użytkownicy tylko z folderów Windows i Program Files, ale jeżeli domyślne reguły zostały zmienione, to dobrze jest to sprawdzić, chociażby podglądając ustawienia polisy w konsoli Group Policy Management, jak pokazuje rysunek poniżej.



31 lipca 2021

Poprawki czerwiec-lipiec do Microsoft Exchange

UPDATED

Tuż przed moim urlopem Microsoft opublikował kwartalne pakiety Cumulative Updates, a niedługo potem również dodatkowe poprawki bezpieczeństwa. Dlatego też uwzględnię je wspólnie, bo jedne i drugie powinny zostać zainstalowane. Tak więc po kolei:

Najważniejszą zmianą w tych poprawkach była integracja z interface'em antimalware systemów Windows Server 2016/2019 (AMSI). Więcej o integracji Exchange z AMSI można przeczytać w oddzielnych artykułach na blogu zespołu produktowego - News About the June 2021 Cumulative Update for Exchange Server oraz More about AMSI integration with Exchange Server. Pakiety poprawek wymagają również aktualizacji schematu, co warto wcześniej zaplanować, zwłaszcza w dużych organizacjach.
Poprawka bezpieczeństwa została udostępniona również dla Exchange 2013, dla którego nie ma już Cumulative Updates, ale dziury bezpieczeństwa łatać trzeba. I tak po kolei:
  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU20 and CU21
  • Exchange Server 2019 CU9 and CU10
Warto pamiętać, że instalacja poprawek bezpieczeństwa w tym miesiącu wymaga również aktualizacji schematu - w Exchange 2016 i 2019, jest ona realizowana w najnowszej paczce CU, ale jeżeli ktoś instaluje dla N-1, to powinien taką aktualizację również uwzględnić. Więcej informacji na blogu zespołu produktowego - Released: July 2021 Exchange Server Security Updates.

Kilkukrotnie dotarły do mnie informacje o problemach wydajnościowych po instalacji Exxchange 2016 CU21 lub Exchange 2019 CU10 - problem dotyczy wolnej pracy Outlooka, a nawet problemów z jego uruchamianiem, nie dotyczy natomiast innych usług dostępowych - OWA, Activesync czy EWS. Związane jest to z nieprawidłowo działającą integracją ADSI przy obsłudze niektórych dostawców narzędzi AV, jak na razie problem potwierdzono dla McAfee Endpoint Security oraz Sophos Central Server Protection. Czekając na rozwiązanie problemu, możemy po zauważeniu takich problemów wyłączyć integrację po stronie konsoli zarządzającej dane oprogramowanie (przykłady w powyższych artykułach), edytując na serwerach Exchange pliki web.config, albo definiując wyjątek konfiguracji (oczywiście przy użyciu powłoki Exchange Management Shell):
New-SettingOverride -Name "DisablingAMSIScan" -Component Cafe -Section HttpRequestFiltering -Parameters ("Enabled=False") -Reason "Testing"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name W3SVC, WAS -Force

Pożegnajmy Skype for Business Online

W ostatnich tygodniach byłem nieco mniej aktywny, zarówno ze względu na urlop, upały jak i sprawy rodzinne. Ale już nadrabiam zaległości, zwłaszcza że 1 lipca po raz piętnasty zostałem Microsoft MVP, ponownie w kategorii Office Apps and Services.

31 lipca 2021 to ostatni dzień Skype for Business Online. Tak ogłosił Microsoft. Co to oznacza dla użytkowników systemów lokalnych i chmurowych? Jeżeli ktoś korzystał ze Skype for Business 2015 lub 2019 na lokalnych serwerach, to dla niego w zasadzie nic się nie zmienia - nadal spokojnie może czekać na nową wersję Skype for Business, którą Microsoft ma udostępnić w drugiej połowie roku, albo pozostać na wersji obecnej, która ma jeszcze przed sobą kilka lat wsparcia technicznego. Dla użytkowników Office 365, to jeżeli nie zmigrowali się jeszcze do Teams, oznacza to fakt, że zostaną zmigrowani w trybie asystowanym, ale oczywiście lepiej byłoby zrobić to samemu. W ostatnich tygodniach było trochę zamieszania, związanego z aktualizacją narzędzi i modułu powershell dla Teams, który przejął funkcjonalnie moduł SkypeOnlineConnector, ale wydaje się, że dokumentacja na temat hybrydy została zaktualizowana i można spokojnie integrować (lub migrować) lokalnego Skype for Business z Microsoft Teams.

Nie ma co zaprzeczać, Microsoft Teams jest platformą dużo bardziej rozbudowaną niż Skype for Business Online, więc nie było sensu równolegle utrzymywać dwóch platform, ale pewna epoka właśnie się skończyła.

30 maja 2021

Konferencja K@SSK i Majowe Mrozy - warsztat Azure AD

 Wczoraj miałem przyjemność prowadzić warsztat dla szkolnych administratorów Office 365 na temat "Azure AD – konfiguracja zabezpieczeń i monitorowanie użytkowników". Warsztat był częścią konferencji K@SSK & Majowe Mrozy, dotyczącej nowoczesnej edukacji, a przeznaczonej dla nauczycieli i pracowników szkolnictwa. Ostatni rok dosyć gwałtownie zmienił nasze spojrzenie na narzędzia chmurowe i korzystanie z platform takich jak Microsoft 365, ważna jednak świadomość, jak robić to w sposób bezpieczny, szczególnie, gdy jesteśmy odpowiedzialni za administrowanie takim środowiskiem.

Godzina to mało czasu, żeby przekazać tyle wiedzy ile bym chciał, dlatego też chciałem nieco rozwinąć informacje, na temat zabezpieczania i weryfikacji środowiska Office 365, które chciałem przekazać przy okazji tych warsztatów. Microsoft niestety w planie EDU A1 włącza tylko niewielką część komponentów umożliwiających zabezpieczenie środowiska Microsoft 365 i Azure AD, nie oznacza to jednak że nie można zrealizować podstawowych zaleceń. Postaram się zatem przypomnieć elementy najważniejsze wg. Microsoft i mnie, które nawet przy ograniczonych możliwościach, ułatwiają pracę administratorów:

Po pierwsze - uwierzytelnianie wieloskładnikowe (MFA) jest potrzebne, przynajmniej dla administratorów. Już ponad rok Microsoft dla nowych organizacji chmurowych włącza tzw. Domyślne wartości zabezpieczeń (Security Defaults), czyli wymuszanie zabezpieczania logowania do chmury poprzez dodatkowy składnik, powiązany z telefonem komórkowym - konieczność dodatkowego zabezpieczenia logowania poprzez kod przesyłany SMS lub użycie aplikacji Microsoft Authenticator zainstalowanej na telefonie.











Ustawienie możemy zmienić, poprzez panel administracyjny Azure AD, wchodząc we właściwości naszej organizacji. Zdecydowania większość placówek oświatowych wyłącza to ustawienie i o ile rozumiem takie podejście w stosunku do uczniów, to przynajmniej szkolni administratorzy i osoby z delegowanymi dodatkowymi uprawnieniami powinni mieć takie zabezpieczenie włączone.

Konfiguracja jest naprawdę bardzo prosta, chociaż nie zawsze oczywista. Jak skonfigurować sobie MFA? Każdy użytkownik usługi Office 365 ma swoją stronę profilową My Account, na której może wskazać metody związane z zabezpieczaniem dostępu i samodzielnym resetowaniem hasła (Informacje zabezpieczające).














Powinniśmy tam zapisać nasz numer telefonu i prywatny adres mailowy, do celów awaryjnych. Możemy również dodać weryfikację konta właśnie poprzez aplikację Authenticator.

Po drugie - korzystając na co dzień z panelu administracyjnego Microsoft 365 - https://admin.microsoft.com, warto do ekranu startowego dodać kafelki komponentów, z których często korzystamy, lub które szybko pokażą nam problemy ze środowiskiem.











Po trzecie - Warto korzystać z panelu administratora Azure AD, gdzie możemy sprawdzić np. kiedy użytkownik logował się po raz ostatni i z jakiego adresu IP, kiedy i przez kogo został usunięty zespół w Teams, oraz znaleźć wiele innych informacji na temat aktywności użytkowników. Niestety portal Azure AD pokazuje logi z ostatnich siedmiu dni. Jeżeli chcielibyśmy mieć dłuższą historię logowań, to możemy utworzyć bezpłatną subskrypcję Azure i wypróbować takie usługi jak Log Analitics czy Azure Sentinel.

Można wyliczać jeszcze długo, ale zachęcam do poznawania Microsoft 365 i Azure AD, po to by odkrywać kolejne możliwości i lepiej zarządzać swoim środowiskiem.



Konferencje i wyzwania edukacyjne

Dopiero co skończyła się konferencja Microsoft Build, na której poza ciekawymi sesjami Microsoft ogłosił również sporo nowości technologicznych, nie tylko dla developerów. Przy okazji konferencji Microsoft - jak od pewnego czasu ma w zwyczaju, uruchomił również kolejne wyzwanie szkoleniowe (Cloud Skills Challenge), dostępne dla osób zarejestrowanych na konferencji. Po raz kolejny zarejestrowałem się na takie wyzwania (bo wyzwań tak naprawdę jest pięć i dotyczą różnych obszarów tworzenia aplikacji webowych i chmurowych) i choć czasu jest mało (tylko 9 dni), to jest to naprawdę ciekawa możliwość.

Czym są Cloud Skills Challenge i dlaczego warto w nich uczestniczyć? Pisałem już na swoim blogu o rozwijanym przez Microsoft portalu szkoleniowym Learn. Warto tam zaglądać, systematycznie dodawane są lub aktualizowane moduły szkoleniowe z technologii chmurowych, można również, korzystając z bezpłatnych modułów szkoleniowych przygotować się do certyfikacji chmurowych Microsoft. Jednak samo istnienie portalu szkoleniowego nie dla wszystkich jest wystarczającą zachętą do nauki. Przy okazji kolejnych konferencji, np. Ignite czy Build przygotowywane są właśnie wyzwania szkoleniowe, po ukończeniu których w określonym czasie, można wylosować nagrodę pieniężną, rzeczową czy po prostu dostać bezpłatny voucher na jeden z wielu egzaminów chmurowych Microsoft. Jak dla mnie mnie możliwość poszerzenia wiedzy połączona z pewnym współzawodnictwem i nagrodą w postaci vouchera była w ostatnich miesiącach wystarczającą zachętą do udziału. A przy okazji możliwością zdobycia kilku certyfikatów bez ponoszenia kosztów. Co więcej, wyzwania grupują moduły szkoleniowe z kilku ścieżek dydaktycznych, co dodatkowo pozwala utworzyć sobie własną kolekcję szkoleniową (stosunkowo świeża funkcjonalność portalu Learn). Ja właśnie na podstawie dwóch ostatnich wyzwań - związanego z Microsoft Graph, który skończył się w połowie maja oraz jednego z aktualnych wyzwań konferencji Build utworzyłem swoją pierwszą kolekcję szkoleniową. Zachęcam do nauki.

29 maja 2021

Majowe poprawki bezpieczeństwa dla Exchange

Mam nadzieję, że wszyscy zainstalowali już majowe poprawki dla serwerów Exchange. W poprzednim artykule wspominałem o tym, że tylko część wykrytych na przełomie marca i kwietnia podatności została uwzględniona w kwietnowym zestawie poprawek, w maju opóźnienia zostały nadrobione. Poprawki można znaleźć na stronach Microsoftu:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU19 and CU20
  • Exchange Server 2019 CU8 and CU9
Więcej informacji na temat podatności oraz problemów występujących po zainstalowaniu poprawek można znaleźć na blogu zespołu produktowego Exchange.
Warto również pamiętać o używaniu (i systematycznej aktualizacji) skryptu Exchange Health Checker wskazującego nam nie tylko brak poprawek w naszym środowisku Exchange ale również inne potencjalnie ułomne opcje konfiguracyjne.

13 kwietnia 2021

Kwietniowe poprawki bezpieczeństwa dla Exchange

Dzisiaj kolejny patch tuesday i pojawiły się poprawki dla Exchange. Po trzęsieniu ziemi, jakie miało miejsce na początku marca i ataku na wiele tysięcy organizacji Exchange, mam nadzieję, że administratorzy systemów pocztowych zaktualizowali swoje serwery i teraz będzie nieco spokojniej. Poprawki zabezpieczają systemy przed czterema podatnościami (jak na razie dosyć niejasno opisanymi w komunikatach bezpieczeństwa). Jak Microsoft twierdzi są to jak na razie zagrożenia teoretyczne (nie ma jeszcze w sieci exploitów wykorzystujących te podatności), ale lepiej nie czekać i łatać przed atakiem. Poniżej linki do paczek instalacyjnych (należy instalować w kontekście administratora):

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU19 and CU20
  • Exchange Server 2019 CU8 and CU9
Warto pamiętać również o przydatnym skrypcie, udostępnionym na Githubie do weryfikacji zabezpieczeń serwerów Exchange - nie tylko zainstalowanych poprawek ale również konfiguracji interface'ów sieciowych, sterowników i innych parametrów konfiguracji serwerów - https://aka.ms/ExchangeHealthChecker

17 marca 2021

I znowu poprawki dla Exchange

 Dla tych, którzy nie zdążyli zainstalować ostatnio opublikowanych poprawek bezpieczeństwa, a nie padli jeszcze ofiarą ataku, mam dobrą wiadomość - Microsoft wydał właśnie najnowsze pakiety Cumulative Updates dla Exchange 2016 i 2019. Dla Exchange 2016 CU20 to oficjalnie ostatni pakiet poprawek, chociaż jednocześnie zespół produktowy zapowiada jeszcze jeden "definitywnie ostatni" w przyszłym kwartale. No cóż, pożyjemy - zobaczymy.

Wymagania wstępne nie zmieniły się, nadal obowiązuje .Net Framework 4.8, dobrze jest również sprawdzić, czy schemat naszego AD nie wymaga aktualizacji (setup /PrepareAD). No i oczywiście nadal trzeba uważać na Execution Policy w Powershell, czy mamy dobrze ustawione (koledzy z Redmond zalecają mieć na serwerach ustawioną polisę na Unrestricted). Więcej szczegółów w artykule na blogu zespołu produktowego.

10 marca 2021

Jeszcze więcej poprawek do serwerów Exchange

Nie cichnie wrzawa po wykryciu w ostatnich dniach podatności w systemach Exchange Server. Pisałem już w poprzednim poście o poprawkach, które Microsoft wydał dokładnie tydzień temu, wiele organizacji Exchange zostało do dziś zaatakowanych - bez wątpienia był to największy atak na najczęściej używany na świecie komercyjny system pocztowy. Podstawowym problemem, jaki mieli administratorzy, którzy chcieli zabezpieczyć swoje serwery Exchange, był w wielu przypadkach brak aktualnych wersji poprawek Cumulative Updates (grupa produktowa Exchange wydaje poprawki bezpieczeństwa tylko dla dwóch ostatnich wersji CU), których z różnych względów firmy nie mogły lub nie chciały zainstalować.

Dlatego też, ze względu na fakt, jak krytyczne są wykryte podatności, Microsoft opublikował dodatkowo poprawki dla trzech poprzednich wersji CU, zarówno dla Exchange 2016 jak i Exchange 2019. Dodatkowe poprawki łatają tylko wykryte w marcu podatności, ale dzięki ich instalacji, firmy będą mogły lepiej przygotować się do instalacji najnowszych aktualizacji zbiorczych, nie będąc narażonymi na ataki. Więcej informacji na blogu grupy produktowej Exchange.

Warto również sprawdzić, czy na naszym serwerze Exchange nie ma podejrzanych plików, świadczących o dokonanym ataku. Microsoft udostępnił skrypt Test-ProxyLogon.ps1, który szuka takich danych.

W przypadku, gdy serwer jednak padł ofiarą ataku, Microsoft zaleca reinstalację systemu. W takiej sytuacji warto pamiętać o parametrze instalacyjnym /recoverserver dzięki któremu w trakcie instalacji konfiguracja zostanie pobrana z Active Directory, co na pewno znacząco ułatwia życie. Dokładniejszą instrukcję, jak odbudować serwer umieścił na swoim blogu Jaap Veselius.


03 marca 2021

Krytyczne poprawki bezpieczeństwa dla serwerów Exchange

Kilka godzin temu zespół produktowy Exchange opublikował informację o wykryciu exploitów, mogących atakować wszystkie wersje Exchange. W związku z tym została opublikowana krytyczna poprawka bezpieczeństwa, którą należy jak najszybciej zainstalować, zwłaszcza na serwerach wystawionych do internetu.

Oczywiście, jak zawsze Microsoft udostępnia aktualizacje tylko dla dwóch ostatnich wersji Cumulative Update, więc jak ktoś nie ma, to powinien również zainstalować najnowszy pakiet poprawek. Poprawka bezpieczeństwa nie wymusza restartu serwera, ale powinien on zostać wykonany.
Więcej informacji o zagrożeniach związanych z podatnością  można znaleźć na blogu Microsoft Security Response Center oraz tutaj.

02 stycznia 2021

Podsumowanie roku 2020

"O roku ów! kto ciebie widział w naszym kraju!" jak pisał kiedyś wieszcz Adam. Rok 2020 był bardzo specyficzny dla wszystkich przez pandemię, ale to truizm. Dla mnie był na pewno szczególny, ze względu na 50 urodziny, 25 rocznicę ślubu i 18 urodziny młodszej córki. Niestety, właśnie pandemia nieco pokrzyżowała plany dotyczące świętowania tych rocznic. Podobnie z planami wyjazdowymi. Udało mi się co prawda wybrać z rodziną w ferie zimowe do Rzymu, ale inne plany wyjazdowe się posypały. Z 12 miesięcy większość czasu spędziłem na pracy zdalnej, więc kolejne miesiące od połowy marca do końca roku zlały mi się w jeden ciąg, ale warto parę rzeczy podsumować.

Udało mi się zdać kilka egzaminów Microsoft, chociaż niestety mniej niż bym chciał, ale nadmiar pracy trochę utrudniał przygotowanie do egzaminów. Poprowadziłem również kilka sesji na konferencjach (lub byłem moderatorem dyskusji) i kilka szkoleń, niektóre nawet zagościły na stałe:

Administracja platformą Office 365 dla nauczycieli - 

https://youtu.be/KFbOdIINdZ8

Expert Summit 2020 https://www.youtube.com/watch?v=LI4SzKN2rvo

Akademia cyfrowego Administratora Office 365 https://www.youtube.com/watch?v=5LuITtJ2srs

Muszę również wspomnieć o dwóch istotnych dla mnie kwestiach. Po pierwsze od początku zdalnego nauczania w Polsce starałem się wspierać szkolnictwo. Co prawna nie miałem tak spektakularnych wyników jak Mariusz Kędziora, ale przeprowadziłem czy też pomogłem we wdrożeniu Office 365 w kilkunastu placówkach edukacyjnych, przeprowadziłem również kilka szkoleń online dla nauczycieli (wszystko to w wolnym czasie). Starałem się również pomagać poprzez porady na grupach Facebook'owych i posty na tym blogu.

Zmieniłem również pracę, pozostając nadal w sektorze bankowym. Można powiedzieć, że zmiana pracy w tak trudnych czasach to wyzwanie, jednak nadal czuję potrzebę nowych wyzwań i rozwoju, więc skorzystałem z ciekawej możliwości.

Co przyniesie Nowy Rok? Mam nadzieję, że kolejne ciekawe projekty i możliwość dalszego rozwoju zawodowego. Microsoft ma wprowadzić w drugiej połowie roku nowe wersje serwerów Exchange, Sharepoint i Skype for Business, pomimo tego, że krążyło w ostatnich latach wiele pogłosek o wycofaniu tych produktów. Na pewno będą również rozwijane produkty chmurowe. Mam nadzieję również, że w tym roku po zaszczepieniu będzie znowu można uczestniczyć w stacjonarnych konferencjach. Konferencje online są świetne, jednak możliwość spotkania z kolegami i specjalistami z branży jest bardzo ważna.